《网络安全法》2017年6月1日实施标志着网络安全保护进入有法可依的2.0时代，“网络安全等级保护制度”首次从法律层面提及。

　　国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者没有经过授权的访问，防止网络数据泄露或者被窃取、篡改：

　　（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

　　（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

　　（三）采取监测、记录网络运作时的状态、网络安全事件的技术措施，并依规定留存相关的网络日志不少于六个月；

　　国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

　　国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

　　۞ 定级：即全国范围内的信息系统(包括网络)，按照重要性和遭受损坏后的危害性分为五个安全保护等级(第一级最低，逐级递增，第五级最高)。

　　۞ 备案：等级确定后，第二级(含)以上信息系统到公安机关备案，公安机关审核合格后颁发备案证明。

　　۞ 建设整改：备案单位根据信息系统安全等级，依照国家标准开展建设整改，建设安全设施、落实安全措施、落实安全责任、建立和落实安全管理制度。

　　۞ 监督检查：公安机关对第二级信息系统进行指导，对第三、四级信息系统定期开展监督、检查、指导。

　　定级是首要环节，通过定级，可以梳理各行业、各部门、各单位的网络系统类型、重要程度和数量等，确定网络安全保护的重点。建设整改是关键，通过建设整改使具有不一样等级的网络系统达到相应等级的基本保护能力。

　　信息系统的安全保护等级应该依据照重要性和遭受损坏后的危害性分为五个安全保护等级：

　　۞ 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

　　۞ 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

　　۞ 第三级，信息系统受到破坏后，会对社会秩序和公共利益导致非常严重损害，或者对国家安全造成损害。

　　۞ 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成很严重损害，或者对国家安全导致非常严重损害。

　　即信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

　　除建立并落实上述管理制度要求外，《网安法》还从技术措施入手，对网络安全等级保护制度的构建提出了要求，这些要求大多数表现在以下几个方面：

　　۞ 企业需采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

　　۞ 企业需采取监测、记录网络运作时的状态、网络安全事件的技术措施，并依规定留存相关的网络日志不少于六个月；

　　۞ 企业需采取技术措施和其他必要措施，确保收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者有几率发生个人隐私信息泄露、毁损、丢失的情况时，应当立即采取补救措施，依规定及时告知用户并向有关主管部门报告。

　　在完成网络安全等级保护工作后，企业还需要委托信息安全等级测评机构对已完成等级建设的等级保护对象定期或不定期（如对系统来进行重大改造后）进行等级测评，确保等级保护对象的安全保护的方法符合相应等级的安全要求。企业对等级保护对象进行测评时应当委托合乎条件的测评机构开展等级测评。委托测评机构开展等级测评工作的，我们提议企业在测评工作真正开始之前开展以下工作规避测评可能给自身带来的系统运行风险和敏感信息泄露风险：

　　۞ 签署委托测评协议。在测评工作真正开始之前，测评方和被测评单位需要以委托协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求及双方的责任和义务等，使得测评双方对测评过程中的基本问题达成共识；

　　۞ 签署保密协议。测评相关方应签署合乎法律规范的保密协议，以约束测评相关方现在及将来的行为。例如，双方可以约定测评过程中获取的相关系统数据信息及测评工作的成果属被测评单位所有，测评方对其的引用与公开应得到相关单位的授权，否则相关单位将按照保密协议的要求追究测评单位的法律责任；

　　۞ 签署现场测评授权书。现场测评之前，测评机构应与相关单位签署现场测评授权书，要求相关方对系统及数据来进行备份，并对也许会出现的事件制定应急处理方案；

　　۞ 进行验证测试和工具测试时，避开业务高峰期，在系统资源处于空闲状态时进行；

　　۞ 整个现场测评过程要求系统运营、使用单位全程监督。测评工作完成后，测评人员应将测评过程中获取的所有特权交回，把测评过程中借阅的有关的资料文档归还，并将测评环境恢复至测评前状态。

　　《网络安全法》将网络安全等级保护制度确定为普适性的制度，也是对传统等级保护体系的整体升级。要加快配套政策、法规、标准的制定，对实践中普遍感觉难以把握的问题作出明确规定。在既有的较为完善信息安全等级保护系统体系之上升级改造，使两者衔接与融合。返回搜狐，查看更加多